《個人信息保護法》正式實施 銀行App這些改變與你有關

中新經緯11月1日電 (魏薇)近日，北京的李女士注意到，不少銀行的App已經更新，并自動彈出了某某銀行的客戶協議與隱私政策。這些變化與11月1日起正式實施的《個人信息保護法》密切相關。

中新經緯發現，近日部分銀行已經開始更新電子銀行個人客戶服務協議、用戶服務須知并展示相關的隱私政策。哪些與儲戶個人信息相關的內容進行了修改？長長的格式條款要重點關注哪些內容？中新經緯為你一一劃重點。

不同個人信息分級處理

《個人信息保護法》的一大亮點，就是對個人信息進行了界定，區分了敏感個人信息與非敏感個人信息。

哪些是敏感個人信息？根據《個人信息保護法》，敏感個人信息指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

“《個人信息保護法》建立了以告知同意作為核心的信息處理原則。對于金融機構而言，處理的很多信息都屬于敏感個人信息，比如金融賬戶等，對于敏感信息的保護區別于一般個人信息，保護要求會更高。”某股份行信用卡中心消保部人士在接受中新經緯采訪時表示。

中新經緯了解到，針對敏感個人信息的處理，《個人信息保護法》要求處理敏感個人信息應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。“個人在與銀行等其他行業建立業務關系時，為了加大合約簽訂的效率，往往使用的是格式條款，也就是說事先并未和客戶進行充分協商?！痹撊耸空f。

他分析稱，之前機構會把客戶授權銀行采集使用、加工或者對外提供某些信息的授權內容，直接放到信用卡的領用合約或者章程里面，讓客戶統一做授權，但是現在對于個人敏感信息對外提供或者使用方面，都要求通過單獨同意的方式。所謂的單獨同意，也就是不允許通過格式條款這種方式來“概括性的統一”。他直言，這對銀行的業務模式將是一個非常大的挑戰。

中新經緯查閱多家銀行App最新更新的個人隱私政策發現，銀行方面將與客戶權益存在重大關系的條款和個人敏感信息，采用粗體字進行標注。

在如何取得客戶明示同意和單獨同意方面，華夏銀行相關負責人在接受中新經緯采訪時介紹，一是銀行在業務辦理協議的相關條款中，涉及個人客戶信息的收集、使用的，通過采用字體加黑等顯著方式向個人客戶進行告知，同時增加強制閱讀時間，確保客戶完全閱讀后明確勾選相關協議；二是客戶通過線上渠道辦理業務或開通具體功能前，會明確告知客戶獲取信息范圍，并經客戶在頁面操作表示明確同意后，才會開始收集明示收集范圍內的信息。如客戶不同意，則中止該項業務功能的辦理和開通，其他業務不受影響。

有權撤回同意

中新經緯注意到，《個人信息保護法》要求，賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。

中國銀行法學研究會理事肖颯在接受中新經緯采訪時介紹，《個人信息保護法》中“同意撤回”是指個人信息主體基于“告知同意”原則，對自己已經作出的“同意信息處理者對其個人信息進行處理”的授權予以取消的意思表示。

“客戶同意之后，也享有撤回同意的權利。之前可以同意，但是如果一旦客戶改變主意了，也可能會撤回同意，銀行也需要保障客戶履行撤回獨立的權利。如何通過業務設置、業務流程去保障其權利，這對于銀行系統建設要求非常高，也會對業務流程產生很大變化?！鄙鲜鱿２控撠熑苏劦?。

以招商銀行為例，中新經緯在招商銀行App的個人隱私政策中看到，用戶可以通過手機系統權限設置、招商銀行App的“設置—安全中心—授權管理”頁面、聯系客服等方式改變部分授權該行收集個人信息的范圍或撤回授權，也可以通過注銷該行一網通用戶的方式，撤回該行繼續收集個人信息的全部授權。

民生銀行信用卡中心審計專家、合規總監閆春仲介紹，該中心對客戶個人信息進行收集時，收集過程會取得客戶授權，并給客戶提供撤回授權的相關途徑。同時，通過公示方式明確該中心處理個人信息的相關規則。

肖颯進一步指出，《個人信息保護法》要求個人信息處理者提供便捷的撤回同意方式。就“便捷”而言，銀行應當依照相關國家標準的精神，其便捷程度宜與給予授權的便捷程度相對等。因此，銀行一方面應當提供“便捷”的撤回方式，另一方面應當在享有撤回權的主體撤回同意后，即時終止處理個人信息且有效刪除存儲的信息。

值得注意的是，在個人首次授權之后，一些個人信息很容易會被復制走，客觀上已經造成了信息流失。

對此，肖颯認為，對于姓名、身份證號、手機號、地址等靜態、簡短的信息在個人給出后極易流失，基本上一經給出就無法再有效撤回。并且在實踐中即使撤回同意后，后續數據處理者也很難控制數據的流轉。

肖颯指出，《個人信息保護法》第15條第2款明確“撤回同意不影響撤回前基于個人同意已進行的個人信息處理活動的效力，但需停止處理或及時刪除其個人信息。”也就是說，《個人信息保護法》上的撤回權不是將個人信息的存在狀態回溯到被給出之前，而是要求信息處理者以此為時間節點，終止收集處理個人信息并將已經獲取的個人信息刪除。《個人信息保護法》賦予公民此項權利的意義在于保障公民對個人信息擁有更多的決定權，充分體現了對公民人權、人格尊嚴和隱私的保障和尊重。

進一步加強第三方合規準入

在日常生活中，我們經常會遇到，搜索了某一商品后，在另外的App上會出現相關內容或產品推薦。這就涉及到跨平臺信息的收集、存儲、共享、使用個人信息的行為。

《個人信息保護法》第23條規定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。

另外，接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

上述信用卡中心消保部人士介紹，該中心與互聯網平臺合作時，主要利用的是平臺流量的導流功能，所有客戶在申請信用卡時，需要導流渠道跳轉到銀行自有的鏈接上，去填寫相關的個人信息，這些信息全部都在銀行、受銀行控制，而且這些信息不會共享給互聯網平臺。

在談到《個人信息保護法》對銀行帶來的挑戰時，華夏銀行相關負責人稱，《個人信息保護法》對大型網絡平臺的信息保護加強了監管，如對平臺內嚴重違法處理個人信息的產品或者服務提供者，將強制其停止提供服務。上述規定也對銀行與第三方業務合作管理提出更高要求，銀行需要進一步加強三方合規準入，優化與第三方的合作模式及業務流程，強化個人信息保護全流程的協同式穿透管控，提前與三方制定協同應急措施及風險控制策略。

“未來銀行應該加強與第三方關于個人信息保護職責邊界的區分管理?！鄙鲜鲐撠熑朔Q。

個人要注意哪些條款？

中新經緯注意到，不少銀行已經開始在更新個人隱私條款。比如華夏銀行相關負責人對中新經緯介紹，該行嚴格落實客戶信息保護工作要求，手機銀行每次新功能上線，如涉及新增采集客戶信息，或涉及到信息與第三方共享等情況，會同時更新《華夏銀行手機銀行隱私協議政策》供客戶閱讀知悉，并在功能的操作頁面進行提示引導，待客戶同意后再行辦理信息采集、存儲或傳輸等。

不過，雖然銀行采取了黑體加粗、延長閱讀時間等方式，但是仍會有部分客戶只是勾選協議，并不會仔細閱讀相關條款。那么在長長的條款中，用戶需要著重閱讀哪些？肖颯律師提醒，用戶可以著重閱讀以下幾個條款：一、涉及向第三方提供個人信息的條款；二、涉及公開個人信息的條款；三、涉及在公共場所安裝圖像采集、個人身份識別設備，用于維護公共安全之外的其他目的條款；四、涉及敏感個人信息條款；五、涉及個人信息出境的條款。

此外，涉及不滿十四周歲未成年人個人信息的條款，本人及其監護人應當額外注意，及時向工作人員咨詢。(中新經緯APP)

中新經緯版權所有，未經書面授權，任何單位及個人不得轉載、摘編以其它方式使用。

責任編輯：Rex_08